信息系統(tǒng)控制包括三個(gè)部分

信息系統(tǒng)01

具有管理企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)的信息化系統(tǒng)。

關(guān)注點(diǎn)：

1、建立書面文件并有效落實(shí)

a.企業(yè)具有報(bào)關(guān)系統(tǒng)手冊(cè)，內(nèi)容能夠詳細(xì)描述信息系統(tǒng)的管理模塊和具體操作流程。

b.企業(yè)信息化系統(tǒng)能夠?qū)崿F(xiàn)對(duì)生產(chǎn)經(jīng)營(yíng)活動(dòng)（七大模塊：財(cái)務(wù)、采購(gòu)、銷售、倉(cāng)庫(kù)、物流、生產(chǎn)、關(guān)務(wù)）全過(guò)程的管理，同時(shí)具備可記錄、可追溯、可查詢的功能。

2、認(rèn)證要求報(bào)關(guān)系統(tǒng)的書面文件涵蓋內(nèi)容

報(bào)關(guān)系統(tǒng)的具體情況：名稱、上線使用時(shí)間、主要功能模塊、具體操作流程及能否實(shí)現(xiàn)對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)的全面覆蓋。

3、認(rèn)證現(xiàn)場(chǎng)審核要點(diǎn)及需提供資料

a.包括但不限于ERP系統(tǒng)、財(cái)務(wù)系統(tǒng)、報(bào)關(guān)系統(tǒng)等操作手冊(cè)，企業(yè)關(guān)務(wù)、采購(gòu)、生產(chǎn)、物流、倉(cāng)儲(chǔ)、財(cái)務(wù)等主要部門負(fù)責(zé)人或崗位人員能夠詳細(xì)解說(shuō)信息化系統(tǒng)各功能模塊的作用和操作流程，包括各個(gè)模塊對(duì)應(yīng)的管理和記錄及日常運(yùn)行和維護(hù)情況。

b.認(rèn)證現(xiàn)場(chǎng)相關(guān)崗位人員能夠熟練地演示信息化系統(tǒng)管理的生產(chǎn)經(jīng)營(yíng)活動(dòng)及具體管理方式。確保能夠?qū)崿F(xiàn)進(jìn)出口貨物信息在企業(yè)報(bào)關(guān)系統(tǒng)全流程記錄、留痕、追溯、檢索等。

c.海關(guān)認(rèn)證人員現(xiàn)場(chǎng)會(huì)任意選取企業(yè)進(jìn)出口貨物，正向及反向追溯、檢索，查看該進(jìn)出口貨物在企業(yè)報(bào)關(guān)系統(tǒng)中各個(gè)環(huán)節(jié)信息的記錄和流轉(zhuǎn)情況—即穿行測(cè)試。

數(shù)據(jù)管理02

建立信息系統(tǒng)的數(shù)據(jù)管理制度，數(shù)據(jù)存儲(chǔ)3年以上。

關(guān)注點(diǎn)：

1、建立制度文件

a.企業(yè)建立關(guān)于生產(chǎn)經(jīng)營(yíng)數(shù)據(jù)管理的書面制度文件。

b.制度文件中應(yīng)明確：數(shù)據(jù)管理部門（崗位），數(shù)據(jù)容災(zāi)備份，數(shù)據(jù)安全管理，數(shù)據(jù)錄入、存儲(chǔ)和異常處理，檔案資料保管等內(nèi)容。

2、認(rèn)證要求制度文件涵蓋要點(diǎn)

制度文件應(yīng)體現(xiàn)對(duì)企業(yè)數(shù)據(jù)的備份（容災(zāi)、異地等）的程序，如何保障數(shù)據(jù)安全（防病毒、防火墻、防止密碼異常）的措施等。

3、認(rèn)證現(xiàn)場(chǎng)審核要點(diǎn)及需提供資料

a.企業(yè)數(shù)據(jù)管理部門（崗位）、人員及職責(zé)分工（部門組織架構(gòu)圖及職責(zé)說(shuō)明）。

b.海關(guān)認(rèn)證人員實(shí)地查看企業(yè)數(shù)據(jù)錄入等操作，抽查三年內(nèi)任一存檔數(shù)據(jù)，系統(tǒng)相關(guān)信息截屏或者根據(jù)企業(yè)三年內(nèi)任意報(bào)關(guān)單進(jìn)行存檔資料抽查。

c.詢問(wèn)相關(guān)崗位人員對(duì)于企業(yè)數(shù)據(jù)備份、存儲(chǔ)等安全情況的了解：比如授權(quán)管理、數(shù)據(jù)分級(jí)管理和使用、數(shù)據(jù)的調(diào)取和查看等。

d.實(shí)地察看存儲(chǔ)數(shù)據(jù)的機(jī)房：確保具備必要的防水、防火、防盜、室溫控制設(shè)施并定期檢查是否有效，可以阻止非授權(quán)人員進(jìn)入和非法闖入、破壞，如特殊情況需進(jìn)入機(jī)房人員是否進(jìn)行被許可并登記。

信息安全3

（1）建立信息安全管理制度并有效落實(shí)。

關(guān)注點(diǎn)：

1、建立制度文件

a.建立企業(yè)信息安全管理制度的書面文件，包括相關(guān)管理措施的流程文件（包括后面的培訓(xùn)和責(zé)任追究?jī)?nèi)容）。

b.相關(guān)書面制度文件應(yīng)明確信息安全管理部門（崗位）、信息安全責(zé)任、安全管理要求、日常運(yùn)維保障、應(yīng)急處置、系統(tǒng)定期更新、檔案資料保管等內(nèi)容。

2、認(rèn)證要求制度文件涵蓋要點(diǎn)

信息安全制度應(yīng)包括：實(shí)體安全（包括公司所有電腦、運(yùn)行系統(tǒng)等）、運(yùn)行安全（在運(yùn)作過(guò)程中如何保障安全）、數(shù)據(jù)安全（系統(tǒng)數(shù)據(jù)安全保障）、人員安全（崗位工作人員及所有員工對(duì)信息安全知識(shí)的掌握）這主要四個(gè)方面的規(guī)定和操作流程。

3、認(rèn)證現(xiàn)場(chǎng)審核要點(diǎn)及需提供資料

a.負(fù)責(zé)信息安全管理的具體部門（崗位）、人員、人數(shù)及職責(zé)分工說(shuō)明，可以提供部門組織架構(gòu)圖和崗位職責(zé)說(shuō)明。

b.海關(guān)認(rèn)證人員向崗位工作人員了解其對(duì)信息安全管理相關(guān)制度的掌握情況和執(zhí)行情況，同時(shí)相關(guān)人員要能夠說(shuō)出企業(yè)信息安全職責(zé)、保障信息系統(tǒng)和數(shù)據(jù)安全的具體措施（比如：信息系統(tǒng)在遇到以下一些情況時(shí)該如何處理：收到垃圾郵件、被病毒入侵、遭網(wǎng)絡(luò)攻擊或惡意網(wǎng)頁(yè)的侵害......）

c.海關(guān)認(rèn)證人員現(xiàn)場(chǎng)抽查記錄：信息系統(tǒng)發(fā)生過(guò)信息安全事故或者系統(tǒng)故障的應(yīng)急處置記錄；非正常運(yùn)行的具體原因及如何處置的相關(guān)記錄；重新認(rèn)證企業(yè)，企業(yè)自成為認(rèn)證企業(yè)后每一年的相關(guān)記錄都要求提供。

d.海關(guān)認(rèn)證當(dāng)天，現(xiàn)場(chǎng)請(qǐng)信息安全管理的負(fù)責(zé)人或者崗位人員演示，企業(yè)在保障信息安全方面采取的措施及成效，比如：查驗(yàn)服務(wù)器是否在獨(dú)立安全區(qū)域保存，進(jìn)入該區(qū)域是否受限；查驗(yàn)該區(qū)域是否有攝像頭監(jiān)控出入人員；隨機(jī)檢查電腦重新啟動(dòng)時(shí)是否設(shè)有密碼保護(hù)......

（2）對(duì)員工進(jìn)行信息安全相關(guān)的培訓(xùn)。

1、建立制度文件

a.建立對(duì)員工進(jìn)行信息安全管理培訓(xùn)的書面文件，可以包含在企業(yè)總的培訓(xùn)制度當(dāng)中。同時(shí)，在信息安全管理制度中也要體現(xiàn)。

b.制度文件內(nèi)容應(yīng)該明確對(duì)員工進(jìn)行信息安全培訓(xùn)的部門、培訓(xùn)周期、具體內(nèi)容、培訓(xùn)實(shí)施、效果評(píng)估、檔案資料保管等內(nèi)容。

2、認(rèn)證現(xiàn)場(chǎng)審核需提供資料

a.信息安全教育和培訓(xùn)的具體部門（崗位）、人員、人數(shù)及崗位職責(zé)說(shuō)明等（提供部門組織架構(gòu)圖及崗位說(shuō)明）。

b.海關(guān)認(rèn)證人員會(huì)根據(jù)企業(yè)制度文件現(xiàn)場(chǎng)考察員工參加信息安全培訓(xùn)的情況（包括培訓(xùn)時(shí)間、內(nèi)容以及考核等），以及相關(guān)人員掌握信息安全相關(guān)制度的情況。

c.海關(guān)認(rèn)證人員會(huì)查看企業(yè)信息安全培訓(xùn)的歷史記錄（包括但不限于培訓(xùn)簽到表、培訓(xùn)課件、培訓(xùn)照片、培訓(xùn)考核及相關(guān)郵件通知截圖）。

d.重新認(rèn)證企業(yè)，提供自成為認(rèn)證企業(yè)起每一天的培訓(xùn)記錄。

（3）對(duì)違反信息安全管理制度造成損害的行為應(yīng)當(dāng)予以責(zé)任追究。

1、建立制度文件

a.企業(yè)的信息安全管理制度中應(yīng)包括責(zé)任追究的內(nèi)容。

b.制度文件應(yīng)該明確責(zé)任追究部門（崗位）、工作職責(zé)、管理要求，責(zé)任追究的內(nèi)容、方式、如何實(shí)施以及檔案資料保管等內(nèi)容。

2、認(rèn)證現(xiàn)場(chǎng)審核需提供資料

a.海關(guān)認(rèn)證人員會(huì)查看企業(yè)的制度文件是否符合海關(guān)認(rèn)證標(biāo)準(zhǔn)的要求，同時(shí)公司的流程性文件是否與制度文件相吻合。

b.詢問(wèn)相關(guān)人員，公司是否發(fā)生過(guò)因違反信息安全管理制度而造成損害的行為，具體情形和處置情況如何，同時(shí)提供安全事故發(fā)生的相關(guān)記錄文檔，包括責(zé)任追究（如處罰）記錄。

c詢問(wèn)相關(guān)人員如何能夠發(fā)現(xiàn)和防治非法入侵和篡改數(shù)據(jù)，如發(fā)生過(guò)這樣的事情，描述當(dāng)時(shí)具體情形以及處置情況，同時(shí)提供此事件所有的記錄文件，包括責(zé)任追究（如處罰）記錄。

d.重新認(rèn)證企業(yè)，提供自成為認(rèn)證企業(yè)起每一年的記錄文件。

科越云通關(guān)一站式外貿(mào)管理系統(tǒng)咨詢:微信號(hào)Caihaowei1982